Boletín especial: Campaña de ransomware Ostap downloader

Especial phising: ostap downloader.jpg

[vc_row css=».vc_custom_1581078485136{background-color: #f1f1f1 !important;}»][vc_column][vc_column_text]Desde el pasado 20 de enero se ha detectado una campaña de correos de phishing. Los objetivos del correo malicioso son engañar al usuario para que se descargue un malware a su equipo e infectar los ficheros ofimáticos almacenados en las unidades de red compartidas, hecho que permite su propagación.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text][no_toc][/vc_column_text][vc_column_text]En estos casos detectados “Ostap downloader” actúa de la siguiente manera:[/vc_column_text][vc_message message_box_color=»warning» icon_fontawesome=»fas fa-radiation»]En el correo recibido, se induce al usuario a abrir un documento anexo (.doc) y habilitar las macros.

Al realizar esta acción, por una parte se realiza un escaneo de las unidades de red compartidas a las que tiene acceso el usuario y borra los archivos ofimáticos encontrados (.doc, .pdf, xls, rtf, txt, pub, odt, ods, odp, odm, odc, odbdata) en dichas unidades, y crea un fichero de extensión .jse (JavaScript).

Los nuevos archivos conservan el nombre original, excepto su extensión, que es sustituida por .jse.

Al ser ejecutados por otro usuario de la red con acceso a las unidades de red que los almacenan, desencadenan la misma acción que al habilitar las macros. [/vc_message][vc_column_text]Con lo cual, de esta manera se propaga por de la red.[/vc_column_text][vc_column_text]Se sospecha que varias empresas, algunas con relación con usuarios del Ministerio de Defensa, han sido comprometidas, ya que el remitente ha sido suplantado con su cuenta legítima. Por esta razón, existe un riesgo elevado de que el usuario sea engañado con mayor facilidad.

Se han detectado los siguientes remitentes de correo, cuyo contenido tiene una alta probabilidad de ser malicioso.[/vc_column_text][vc_row_inner][vc_column_inner width=»1/2″][vc_column_text]

  • artabe@javierprocurador.com
  • alcaldia@colunga.es
  • administracion@neu-velasco.com

[/vc_column_text][/vc_column_inner][vc_column_inner width=»1/2″][vc_column_text]

  • aina@saljub.com
  • admin@grupohidrofusion.es
  • lcomas@europeanflyers.com

[/vc_column_text][/vc_column_inner][/vc_row_inner][vc_column_text]El asunto contiene los siguientes patrones:[/vc_column_text][vc_row_inner][vc_column_inner width=»1/2″][vc_column_text]

  • Additional payment information reminder
  • First part of payment
  • Partial payment

[/vc_column_text][/vc_column_inner][vc_column_inner width=»1/2″][vc_column_text]

  • Settlement request
  • Settlement notification

[/vc_column_text][/vc_column_inner][/vc_row_inner][vc_column_text]Los anexos maliciosos tienen los siguientes formatos:[/vc_column_text][vc_row_inner][vc_column_inner width=»1/2″][vc_column_text]

  • sec_part_inv_XXXXXXXX.doc
  • agr_data_XXXXXXXX.doc
  • 1paym_inv_XXXXXXXX.doc

[/vc_column_text][/vc_column_inner][vc_column_inner width=»1/2″][vc_column_text]

  • con_paym_aw_XXXXXXXX.doc
  • request_XXXXXXXX.doc

[/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row][vc_column][vc_custom_heading text=»Normas de actuación» use_theme_fonts=»yes»][vc_column_text]Si bien la defensa perimetral de las redes corporativas (las que tiene instalados servicios de cortafuegos y protección) ya están eliminando muchos de estos documentos maliciosos, algunos están aún siendo entregados a los usuarios.[/vc_column_text][vc_message message_box_color=»danger» icon_fontawesome=»fas fa-exclamation»]Si usted recibe uno de estos correos bien en sus cuentas de correo corporativo o bien en sus cuentas personales de correo, IGNÓRELO y siga los siguientes consejos:[/vc_message][vc_column_text]Consejos generales:[/vc_column_text][vc_column_text]

  • No responder al remitente. Uno de los objetivos de los atacantes es confirmar direcciones de e-mail.
  • No abrir los ficheros ni pulsar en los enlaces que contiene.
  • No habilite las macros de los archivos doc.
  • No ejecute ficheros con la extensión .jse.
  • Borrar el correo de la bandeja de entrada e informar del incidente a su servicio informático de su empresa.

[/vc_column_text][vc_column_text]Como norma general desconfíe de correos electrónicos que:[/vc_column_text][vc_column_text]

  • Contengan faltas ortográficas o gramaticales.
  • Le soliciten datos personales o económicos, o le redirijan a páginas que lo hagan.
  • Contengan información de servicios que usted no ha contratado.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_message message_box_color=»orange» icon_fontawesome=»fa fa-lightbulb-o»]Siempre atento para no picar en los “anzuelos”[/vc_message][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

Referencias del documento:
Articulo refundido y modificado por la Subdelegación de Defensa en Málaga.
Artículo publicado en el Boletín de Concienciación del Mando Conjunto de Ciberdefensa.

[/vc_column_text][vc_single_image image=»6671″ img_size=»large» add_caption=»yes» alignment=»center»][/vc_column][/vc_row]